NXOS – ディスクの内容を安全に消去する

はじめに

このドキュメントでは、標準のLinuxユーティリティを使用するCisco Nexusスイッチのディスクを安全にワイプする方法について説明します。  これは、特定の軍事および政府のお客様が機器をセキュアゾーンから非セキュアゾーンに移動する場合、またはコンプライアンス要件を持つその他のお客様が施設から機器を移動する場合に必要です。

背景説明

スイッチにSSDまたはeUSBドライブがあるかどうかに応じて、2つのオプションがあります。

• Init-Systemは、SSDを搭載した新しいモデルのスイッチで使用されます。 Init-SystemはATA Secure eraseを使用して、ドライブのすべてのセクタにバイナリ0を書き込みます。  
• eUSBドライブを搭載した古いモデルのスイッチでは、ゼロバイト消去方式を使用して、ドライブのすべてのセクターに0を書き込むこともできます。

この手順で使用される標準ユーティリティでは、ストレージディスク上のデータを安全に破棄する一連のコマンドが使用され、ほとんどの場合、データの回復が困難または不可能になります。

このガイドでは、Cisco Nexus 3000シリーズスイッチ、Cisco Nexus 5000シリーズスイッチ、Cisco Nexus 9000シリーズスイッチ、Cisco Nexus 7000シリーズスイッチ、およびCisco MDSシリーズスイッチの両方のプロセスについて説明します。ただし、init-systemまたはBashアクセスがある場合は、他のほとんどのCisco Nexusスイッチに対しても機能します。  使用しているスイッチまたは実行しているソフトウェアリリースで、bash機能を有効にしてBashシェルにアクセスすることをサポートしていない場合は、Cisco TACでサービスリクエストをオープンし、この手順のためのデバッグプラグインの利用に関してサポートを受けてください。

自分のために適切な手順を決定する方法は？

pidが値0を返した場合、システムはSSDを使用しており、Init-Systemメソッドを使用してドライブを消去できます。

PIDが値1を返した場合、システムはeUSBドライブを使用しており、ゼロバイト消去方式を使用する必要があります。

F340.23.13-C3064PQ-1# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
F340.23.13-C3064PQ-1(config)# feature bash-shell
F340.23.13-C3064PQ-1(config)#
F340.23.13-C3064PQ-1(config)# exit
F340.23.13-C3064PQ-1# run bash
bash-4.2$ cat /sys/block/sda/queue/rotational
1
bash-4.2$

上記の手順を実行した後でも、システムに取り付けられているドライブのタイプや、ディスクの内容を安全に消去するために使用する手順がわからない場合は、Cisco TACでサービスリクエストをオープンしてください。

準備

ドライブをワイプする前に、次の情報が必要です。

1. スイッチへのコンソールアクセス
2. management0インターフェイスを介したTFTPサーバへのアクセス：現在の設定をバックアップしてからOSを復元するために必要です。
3. このプロセスで破棄されるため、オフラインでシステムから保存するrunning-configおよびその他のファイルのバックアップ

注：この手順は、現在実稼働していないパーツや、実稼働シャーシに取り付けられていないパーツに対して実行することを強くお勧めします。この手順を実行する前に、意図しないネットワーク中断を避けるために、デバイスまたは部品を非実稼働環境に移動する必要があります。

SSDを搭載したスイッチでのInit-System手順の使用

注：モジュラベーススイッチ内のスーパーバイザにこの手順を実行する場合は、手順の実行を予定しているスーパーバイザだけをシステムに取り付けることをお勧めします。

1. コンソール経由で接続した状態で、スイッチをリロードまたは電源の再投入を行います。
   
   
2. スイッチのブート中に、Ctrl+Cキーを使用してスイッチをloader>プロンプトに切り替えます。
   
   
3. loader>プロンプトでcmdline recoverymode=1と入力します。これにより、スイッチのswitch(boot)#プロンプトでのブートが停止します。
   
   

   loader > cmdline recoverymode=1 

4. boot bootflash:<nxos_filename.bin>を使用して起動手順を開始します。
   
   

   loader > boot bootflash:nxos.7.0.3.I7.8.bin

5. スイッチがブートして、switch(boot)#プロンプトが表示されます。  このプロンプトで、clear nvram CLIおよびinit system CLIを使用して、ライセンスブロックを除くnvramのすべてのブロックに0を書き込みます。

   注：このテストは、Intel Core i3- CPU @ 2.50 GHzおよび110 G SSD搭載のN9K-C9372TX-Eで実行されました。システムの初期化にかかった合計時間は約8秒でした。

   switch(boot)# clear nvram
   switch(boot)# init system 
   This command is going to erase your startup-config, licenses as well as the contents of your bootflash:.
   Do you want to continue? (y/n)  [n] y

6. ステップ5が完了したら、switch:
   
   

   switch(boot)# reload
   This command will reboot this supervisor module. (y/n) ? y

eUSBを使用するスイッチ、スーパーバイザ、システムコントローラでのdd手順の使用

1. コンソールポート経由でスイッチの管理者アカウントにログインします。

注：モジュラベーススイッチ内のスーパーバイザにこの手順を実行する場合は、手順の実行を予定しているスーパーバイザだけをシステムにインストールすることを推奨します。

2. 設定モードから機能bash-shellを有効にし、run bash（N3K/9Kのみ）を使用してBashプロンプトに入ります。  他のCisco Nexus スイッチでは、Bashにアクセスするためにデバッグプラグインが必要です)。

F340.23.13-C3064PQ-1# config terminal
F340.23.13-C3064PQ-1(config)# feature bash-shell
F340.23.13-C3064PQ-1(config)# exit
F340.23.13-C3064PQ-1# run bash
bash-4.2$

N7K-1# load n7000-s2-debug-sh.7.2.1.D1.1.gbin
Loading plugin version 7.2(1)D1(1)
###############################################################
  Warning: debug-plugin is for engineering internal use only!
  For security reason, plugin image has been deleted.
###############################################################
Successfully loaded debug-plugin!!!
Linux(debug)# 

3. sudo su -

注：この手順のデバッグプラグインを使用しているCisco Nexus 7000シリーズスイッチでは、この手順をスキップできます。

bash-4.2$ sudo su -
root@F340# 

4. Nexus 9000シリーズスイッチにインストールされたシステムコントローラでこの手順を実行する場合は、この手順を実行するスロット番号にリモートログインする必要があります。  たとえば、スロット29のシステムコントローラに対して次のように実行されます。

N9K-EOR# run bash
bash-4.2$ sudo su -
root@N9K-EOR#rlogin lc29
root@sc29:~# 

5. fdisk -lを使用して、各ディスクのブロック・サイズを確認します。  N3K-C3064PQ-10Xでは、/dev/sda @ 512バイトのブロックサイズしかありません。以下を参照してください。

注：一部のCisco Nexusスイッチでは、複数のディスクが存在する場合があります。dd操作を実行する場合は、この点を考慮する必要があります。たとえば、N7K-SUP2には/dev/sda、/dev/sdb、/dev/sdc/、/dev/md2、/dev/md3、/dev/md4、/dev/md5、および/dev/md6があります。セキュア消去手順を正しく実行するには、これらのそれぞれでdd操作を実行する必要があります。

注：Cisco Nexus 9000シリーズスイッチでは、システムコントローラに/dev/mtdblock0、/dev/mtdbloc1、/dev/mtdbloc2、/dev/mtdblock3、/dev/mtdblock4、/dev/mtdblock5、および/dev/mtdblock6があります。  セキュア消去手順を正しく実行するには、それぞれでdd操作を実行する必要があります。

root@F340# fdisk -l

Disk /dev/sda: 2055 MB, 2055208960 bytes
64 heads, 62 sectors/track, 1011 cylinders
Units = cylinders of 3968 * 512 = 2031616 bytes
Disk identifier: 0x8491e758

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1               1           5        9889   83  Linux
/dev/sda2               6          45       79360    5  Extended
/dev/sda3              67        1011     1874880   83  Linux
/dev/sda4              46          66       41664   83  Linux
/dev/sda5               6          26       41633   83  Linux
/dev/sda6              27          45       37665   83  Linux

6. ディスク上のすべてのセクタに0バイトを書き込みます。

注：このテストは、Intel Celeron CPU P4505 @1.87 GHzおよび13 G eUSBを搭載したN3K-C3064PQ-10Xで実行されました。ゼロバイトプロセスには約501秒かかりました。

root@F340# dd if=/dev/zero of=/dev/sda bs=512

注：一部のパーツでは、このステップで生成されたカーネルメッセージが表示されることが予想されます。

7. ステップ5が完了したら、スイッチ、スーパーバイザ、またはシステムコントローラをリロードします。

注:Cisco Nexus 9000シリーズモジュラスイッチでシステムコントローラをリロードするには、reload module <slot_number> CLIを入力します。

bash-4.2$ exit
F340.23.13-C3064PQ-1# exit
F340.23.13-C3064PQ-1# reload
WARNING: There is unsaved configuration!!!
WARNING: This command will reboot the system
Do you want to continue? (y/n) [n] y

ddを使用して、I/Oモジュール上の関連するパーティションに0バイトを書き込む

1. コンソールポート経由でスイッチの管理者アカウントにログインします。

2. 設定モードから機能bash-shellを有効にし、run bash（N3K/N9Kのみ）を使用してBashプロンプトに入ります。  他のCisco Nexus スイッチでは、Bashにアクセスするためにデバッグプラグインが必要です)。 デバッグプラグインが必要な場合は、Cisco TACに連絡して、ステップ2ではなくステップ3に従ってください。

注:BashプロンプトからLC/FMにアクセスするには、ルートアクセスを取得してからrlogin lc# CLIを入力します。CLIの#を、操作を実行するスロットの番号に置き換えます。

N7K-1# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
N7K-1(config)# feature bash-shell 
N7K-1(config)# exit
N7K-1# run bash 
bash-4.3$ 

N9K-EOR# run bash
bash-4.2$ sudo su -
root@N9K-EOR#rlogin lc22
root@fm22:~#

3. デバッグプラグインを使用するCisco Nexusスイッチの場合は、実行しているソフトウェアバージョンのデバッグプラグインがブートフラッシュにコピーされていることを確認し、次のセキュア消去手順を実行するモジュール上でそのデバッグプラグインをロードします。

注:Nexus 7000シリーズスイッチI/Oモジュール用に使用されるデバッグプラグインイメージは、スーパーバイザモジュール用に用意されているデバッグプラグインイメージとは異なります。スイッチで稼働しているソフトウェアリリースのLCイメージを使用します。

switch# attach module 3
Attaching to module 3 ...
To exit type 'exit', to abort type '$.' 
module-3# load bootflash:dplug-lc_p476-bin.7.2.1.D1.1.bin
Name of debug-plugin from SUP: '/bootflash/dplug-lc_p476-bin.7.2.1.D1.1.bin'
Downloaded debug-plugin to LC: '/tmp/dplug-lc_p476-bin.7.2.1.D1.1.bin'
Loading plugin version 7.2(1)D1(1)
###############################################################
  Warning: debug-plugin is for engineering internal use only!
###############################################################
Warning: /debug-plugin/.autorun is using deprecated /bin/bash.  Please change to /bin/sh
Successfully loaded debug-plugin!!!
Linux(debug)# 

4. 次に、Cisco Nexus 7000シリーズラインカードの場合は、ファイルシステム上で/logflash/と/mnt/pssがマウントされている場所を確認します。  これを行うには、mountコマンドを使用して/mnt/plog(logflash)と/mnt/pssの場所を検索します。

注:Cisco Nexus 9000シリーズラインカードの場合は、/dev/mmcblk0でdd操作を実行します。

注：Cisco Nexus 9000シリーズファブリックモジュールの場合、dd操作は/tmpfs、/dev/root、/dev/zram0、/dev/loop0、/dev/loop1、および/unionfsで実行します。

Linux(debug)# mount | grep plog
/dev/mtdblock2 on /mnt/plog type jffs2 (rw,noatime)
Linux(debug)# 
Linux(debug)# mount | grep pss
tmpfs on /mnt/pss type tmpfs (rw,size=409600k,mode=777)
Linux(debug)# 

5. これで、/mnt/plogは/dev/mtdblock2に、/mnt/pssは/tmpfsにそれぞれ存在することがわかりました。次に、ddコマンドを使用してゼロバイトを両方に書き込み、デバッグプラグインを終了し、モジュールをリロードします。

Linux(debug)# dd if=/dev/zero of=/dev/mtdblock2 bs=1024
dd: writing '/dev/mtdblock2': No space left on device
15361+0 records in
15360+0 records out
Linux(debug)# 
Linux(debug)# dd if=dev/zero of=/tmpfs bs=1024
dd: writing '/tmpfs': No space left on device
23781+0 records in
23780+0 records out
Linux(debug)# 
Linux(debug)# exit
####################################################################
  Warning: for security reason, please delete plugin image on sup.
####################################################################
module-3# exit
rlogin: connection closed.
switch# 
switch# reload module 3
This command will reload module 3. Proceed[y/n]?  [n] y
reloading module 3 ...
switch# 

スイッチを回復してOSを再インストールする

スイッチの電源をオフ/オンすると、ローダープロンプトで起動します。 

loader>プロンプトから回復するためには、次の手順に従ってスイッチをTFTPでブートする必要があります。

1. スイッチ上のmgmt0インターフェイスにIPアドレスを設定(または割り当て)します。
   
   

   loader > set ip <IP_address> <Subnet_Mask> 

2. ブート元のTFTPサーバが別のサブネットにある場合は、デフォルトゲートウェイをswitch:

loader > set gw <GW_IP_Address> 

3. ブートプロセスを実行します。  スイッチが起動し、switch(boot)プロンプトが表示されます。

注:Cisco Nexus 5000シリーズスイッチ、Cisco Nexus 6000シリーズスイッチ、Cisco Nexus 7000シリーズスイッチなど、個別のシステム/キックスタートイメージを使用するスイッチの場合は、このステップでキックスタートイメージをブートする必要があります。  Cisco Nexus 9000シリーズスイッチやCisco Nexus 3000シリーズスイッチなど、単一のNXOSイメージを使用するスイッチの場合は、このステップで単一のイメージをブートする必要があります。

loader > boot tftp:/// 

4. clear nvram、Init system、およびformat bootflash：を実行します。

注:Cisco Nexus 5000シリーズスイッチおよびCisco Nexus 6000シリーズスイッチの場合、switch(boot)#プロンプトではclear nvramを使用できません。

switch(boot)# clear nvram
switch(boot)# init system 
This command is going to erase your startup-config, licenses as well as the contents of your bootflash:.
Do you want to continue? (y/n) [n] y
Initializing the system ...

<snip>

switch(boot)# format bootflash: 
This command is going to erase the contents of your bootflash:.
Do you want to continue? (y/n) [n] y
get_sup_active_slot failed with -1
Unknown card
Formatting bootflash:

<snip> 

5. スイッチをリロードします。

switch(boot)# reload 
This command will reboot this supervisor module. (y/n) ? y
ˇ
(c) Copyright 2011, Cisco Systems.
N3000 BIOS v.5.0.0, Tue 06/05/2018, 05:24 PM 

6. スイッチ上のmgmt0インターフェイスにIPアドレスを設定（または割り当て）します。

loader > set ip <IP_address> <Subnet_Mask> 

7. ブート元のTFTPサーバが別のサブネットにある場合は、デフォルトゲートウェイをswitch:

loader > set gw <GW_IP_Address> 

8. スイッチをリロードします。

注：この手順(8)は、この手順がCisco Nexus 5000シリーズスイッチ、Cisco Nexus 6000シリーズスイッチ、Cisco Nexus 7000シリーズスイッチスーパーバイザモジュール、またはCisco Nexus 9000シリーズスイッチスーパーバイザモジュールで実行される場合は必要ありません。  Cisco Nexus 5000シリーズスイッチ、Cisco Nexus 6000シリーズスイッチ、Cisco Nexus 7000シリーズスイッチのスーパーバイザモジュール、またはCisco Nexus 9000シリーズスイッチのスーパーバイザモジュールでこの手順を実行する場合は、ステップ9に進んでください。

loader> reboot 

9. ブートプロセスを実行します。  スイッチがブートすると、switch(boot)プロンプトが表示されます。

注:Cisco Nexus 7000シリーズスイッチのように、個別のシステム/キックスタートイメージを使用するスイッチの場合は、このステップでキックスタートイメージをブートする必要があります。  Cisco Nexus 9000シリーズスイッチやCisco Nexus 3000シリーズスイッチなど、単一のNXOSイメージを使用するスイッチの場合は、このステップで単一のイメージをブートする必要があります。

loader > boot tftp://<server_IP>/<nxos_image_name>

10. Cisco Nexus 5000シリーズスイッチ、Cisco Nexus 6000シリーズスイッチ、Cisco Nexus 7000シリーズスイッチなど、個別のシステム/キックスタートイメージを使用するスイッチの場合は、このステップで、スイッチをブートするためのいくつかの追加手順を実行する必要があります。  管理0のIPアドレスとサブネットマスクを設定し、デフォルトゲートウェイを定義する必要があります。  これが完了したら、キックスタートおよびシステムイメージをスイッチにコピーしてロードします。

switch(boot)# config terminal
Enter configuration commands, one per line.  End with CNTL/Z.
switch(boot)(config)# interface mgmt 0
switch(boot)(config-if)# ip address 10.122.160.55 255.255.255.128
switch(boot)(config-if)# no shutdown
switch(boot)(config-if)# exit
switch(boot)(config)# 
switch(boot)(config)# ip default-gateway 10.122.160.1
switch(boot)(config)#
switch(boot)(config)# exit
switch(boot)#
switch(boot)#
switch(boot)# copy ftp: bootflash:
Enter source filename: 
Enter hostname for the ftp server: 
Enter username: 

Connected to x.x.x.x.
220 CALO Fileserver
331 Please specify the password.
Password: 
230 Login successful.



221 Goodbye.
Copy complete, now saving to disk (please wait)...
switch(boot)# 
switch(boot)# copy ftp: bootflash:
Enter source filename: 
Enter hostname for the ftp server: 
Enter username: 

Connected to x.x.x.x.
220 CALO Fileserver
331 Please specify the password.
Password: 
230 Login successful.



221 Goodbye.
switch(boot)#

11. Cisco Nexus 5000シリーズスイッチ、Cisco Nexus 6000シリーズスイッチ、およびCisco Nexus 7000シリーズスイッチのスーパーバイザモジュールの場合、switch(boot)#プロンプトからload bootflash:<system_image>と入力します。  これで、スイッチのブートプロセスは終了です。 

switch(boot)# load bootflash:<system_image>

12. システムイメージが正常にロードされたら、セットアッププロンプトを実行して、目的の仕様に合わせてデバイスの設定を開始する必要があります。